Guida I al Regolamento Privacy UE 2016/679: dati personali e ambito di applicazione territoriale

04 Maggio 2017

Guida I al Regolamento Privacy UE 2016/679: dati personali e ambito di applicazione territoriale

Introduzione

Il Regolamento UE 2016/679 sulla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (“Regolamento”) si pone come nuovo strumento adottato in ambito UE per assicurare una più efficace tutela del diritto alla protezione dei dati personali a fronte di una crescente diversificazione e diffusione delle tecnologie digitali e di un più ampio utilizzo delle stesse negli scambi fra i cittadini UE.

Il Regolamento contiene elementi innovativi che giustificano tale nuovo approccio e che, già dalle prime battute, sono ravvisabili nella stessa basilare definizione di “dato personale”, dal cui esame parte questa Guida, che ha l’obiettivo di fornire un quadro organico delle novità portate dal Regolamento, senza alcuna pretesa di esaustività.

La definizione di dato personale

Rispetto alla definizione riportata nel Decreto Legislativo 30 giugno 2003 n. 196 (“Codice Privacy”), la nuova definizione di “dato personale”, contenuta nel Regolamento, appare più dettagliata, recependo evidentemente alcune pronunce della Corte di Giustizia e il risultato dell’elaborazione del Gruppo ex articolo 29 degli ultimi anni.

Dopo aver ribadito, infatti, che per “dato personale” deve intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile” il Regolamento precisa che: “si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Come si può notare, tale nuova definizione fa espresso riferimento ad alcuni esempi di identificativi, non presenti nella definizione di “dato personale”, contenuta nel nostro Codice Privacy.

Concorrono ad una maggiore comprensione della nuova formulazione alcuni considerando del Regolamento, in cui viene esplicitato che: “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica, direttamente o indirettamente” ed ancora che “le persone fisiche possono essere associate ad identificativi on line prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies), o identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare, se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone e identificarle” (Considerando 26 e 30).

Il Regolamento, dunque, menziona espressamente gli indirizzi IP, ponendosi in linea con alcune recenti sentenze della Corte di Giustizia UE, nell’ambito delle quali la Corte ha qualificato gli indirizzi IP come dati personali. A questo riguardo, merita, da ultimo, particolare considerazione la decisione nel caso Patrick Breyer/Bundesrepublik Deutschland (C-582/14), nella quale la Corte ha chiarito che un indirizzo IP dinamico può essere qualificato come dato personale, se oggetto di trattamento da parte di un soggetto che dispone “di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a internet di detta persona dispone”.

I dati sensibili e i dati giudiziari

Quanto ai dati sensibili, il Regolamento, diversamente dal nostro Codice Privacy, non ne fornisce la definizione, ma, con riferimento a “categorie particolari di dati personali” introduce le definizioni di “dati genetici”, “dati biometrici” e di “dati relativi alla salute”.

Il Regolamento, infine, non contempla tra le definizioni quella relativa ai dati giudiziari, il cui contenuto, peraltro, è stabilito in maniera ampia all’articolo 10, in tema di trattamento dei dati personali relativi a condanne penali e a reati.

La pseudonimizzazione

Tra le definizioni previste dal Regolamento, merita, invece, particolare considerazione quella di “pseudonimizzazione”, introdotta ex novo e concernente il “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Senza entrare nel merito delle considerazioni tecniche e giuridiche connesse alla pseudonimizzazione, va rilevato che, secondo la definizione, anche i “dati pseudonimizzati” sono “dati personali”, per la relativa idoneità a rendere la persona identificabile.

Ambito di applicazione territoriale

Oltre alle considerazioni sopra riportate in tema di “dati personali”, una significativa novità del Regolamento è rappresentata dall’estensione del relativo ambito di applicazione territoriale.

In base, infatti, al paragrafo 1 dell’articolo 3 del Regolamento, viene espressamente previsto che il Regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione” e, al successivo paragrafo 2, che il Regolamento si applica “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività riguardano: (a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento di un interessato; oppure (b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

La nozione di stabilimento

Come è agevole notare, in forza del primo paragrafo dell’articolo 3, il Regolamento – in parziale discontinuità rispetto al Codice Privacy – si applica per il solo fatto che il trattamento dei dati avvenga “nel contesto delle attività di uno stabilimento” nell’UE, e, dunque, a prescindere dal fatto, come attualmente previsto all’articolo 5, comma 2, del Codice Privacy, che vengano impiegati “strumenti situati nel territorio dello Stato...”.

Ciò implica, per il Regolamento, la centralità della nozione di “stabilimento”, da intendersi, secondo quanto specificato anche al considerando 22, come “l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”.

Ai fini dell’applicazione del Regolamento è irrilevante che “il trattamento sia effettuato o meno nell’Unione”: tale precisazione conferma la scelta di fondo del legislatore UE nell’estendere l’ambito applicativo territoriale delle nuove norme, applicabili – sulla base della nuova formulazione – anche se gli strumenti del trattamento (ad esempio server) siano situati in ambito extra-UE.

Del tutto innovativo, rispetto alle disposizioni sia della Direttiva n. 95/46 che del Codice Privacy, è, inoltre, il paragrafo n. 2 dell’articolo 3 del Regolamento, che, nel caso di titolari o responsabili del trattamento non stabiliti nel territorio dell’UE, fonda l’applicabilità delle nuove norme sulla base di due differenti criteri: 1) l’offerta di beni o la prestazione di servizi a persone interessate nell’Unione (indipendentemente dal fatto che l’offerta di beni o servizi sia o meno a titolo oneroso); e 2) il monitoraggio del comportamento di tali soggetti all’interno dell’UE.

Nel primo caso, ai fini dell’applicabilità del Regolamento, sarà pertanto rilevante lo svolgimento di un’attività di offerta di beni o servizi, anche a prescindere dall’esistenza di un’obbligazione di pagamento dell’interessato e, nel secondo caso, sulla scorta delle indicazioni contenute nel considerando 24, potrà rilevare il fatto che “le persone fisiche siano tracciate su Internet, compreso l’eventuale ricorso successivo a tecniche di trattamento che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

Guida I al Regolamento Privacy UE 2016/679: dati personali e ambito di applicazione territoriale

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Carcere e sessualità: illegittimo il divieto dell' inderogabilità del controllo a vista

Incroci e interrelazioni tra 231 e privacy

Le indagini aziendali, il diritto di accesso difensivo ed il rispetto della privacy

Shopping low cost: quali sono i veri rischi

Dati neurali: il Cile sancisce la loro tutela e li equipara ai dati sensibili

Nuovi codici di condotta: migliorare la dignità online tramite l’educazione digitale

La nuova legge sul whistleblowing e i suoi riflessi in ambito aziendale sul MOG 231 e sulla Privacy

Intelligenza artificiale: ChatGPT sostituirà i giornalisti? Il giornale del 2030

Altri articoli dell'autore

Articoli più letti su questo argomento